Certification des prestataires de formation à la protection des données : la CNIL publie un référentiel de critères
Afin d’apporter des garanties sur la qualité des formations délivrées en matière de protection des données, les prestataires devront respecter un référentiel de critères avant d’obtenir une certification auprès des organismes agréés par la CNIL.
Une sensibilisation ou une formation est souvent utile pour découvrir ou mieux appréhender le RGPD. La formation des professionnels leur permet d’accompagner la mise en conformité au sein de leur organisme et d’aider à la sensibilisation des acteurs à la protection des données personnelles.
L’offre de formation professionnelle sur le thème de la protection des données personnelles s’est fortement enrichie depuis l’entrée en application du RGPD. L’obtention d’une certification basée sur le référentiel de la CNIL permet aux prestataires de formation d’obtenir une reconnaissance attestant de la qualité de la formation qu’ils délivrent dans ce domaine.
Une formation réalisée par un prestataire de formation certifié permet de s’appuyer sur les garanties qu’apportent le respect des critères du référentiel, à savoir :
- un socle d’aptitudes et de compétences défini par la CNIL ;
- un contenu très régulièrement mis à jour afin de prendre en compte l’actualité en matière de protection des données ;
- des intervenants mobilisés en fonction de leurs compétences et de leur capacité à répondre aux objectifs spécifiques de chaque formation (un secteur d’activité, une thématique ou un traitement de données personnelles en particulier, etc.).
Par exemple, les futurs candidats à la certification des compétences du délégué à la protection des données pourront librement choisir de s’orienter vers un prestataire de formation certifié pour effectuer la formation d’au moins 35 h. Une telle formation constitue en effet un prérequis lorsque le candidat ne dispose pas d’une expérience professionnelle d'au moins 2 ans dans des projets, activités ou tâches en lien avec les missions du délégué à la protection des données.
Un mécanisme volontaire
La certification n’est pas obligatoire pour proposer une formation à la protection des données personnelles. Il s’agit d’un mécanisme volontaire permettant aux organismes de formation de justifier que leur prestation s’inscrit dans une logique de conformité au RGPD et à la loi Informatique et Libertés. Par ailleurs, les établissements d’enseignement supérieur bénéficient d’autres systèmes de reconnaissance.
Pour les organismes prestataires d'actions concourant au développement des compétences soumis à l’obligation d’une certification selon le référentiel national qualité (RNQ), il est prévu que ce certificat soit pris en compte lors de l’évaluation réalisée pour obtenir la certification de prestataires de formation à la protection des données.
Le contenu du référentiel
Le référentiel comporte près d’une trentaine de critères ayant pour objectif de démontrer la qualification du prestataire de formation à la protection des données. Ces exigences sont divisées en thématiques :
- les exigences générales ;
- l’information du public sur les formations proposées ;
- l’identification des besoins et des objectifs de formation ;
- la conception des formations ;
- la préparation et à l’adaptation des formations aux apprenants ;
- les conditions de réalisation des formations ;
- les compétences des intervenants ;
- le recueil des appréciations et la prise en compte des réclamations.
Il est accompagné d’un référentiel général d’aptitudes et de connaissances (les notions clés à maîtriser, les principes de la protection des données, les responsabilités des acteurs, le délégué à la protection des données et la mise en place de sources de veille).
Un guide de lecture accompagne également le référentiel afin de faciliter l’accès à la certification, notamment à partir d’exemples et de situations pratiques. Ce guide sera enrichi à partir du retour d’expérience des premières évaluations qui seront réalisées.
Comment déposer sa demande de certification ?
La publication des critères de certification constitue la première étape du lancement de la certification des prestataires de formation à la protection des données.
Les prestataires de formation qui souhaitent obtenir leur certification doivent se mettre en conformité avec les critères du référentiel pour préparer leur candidature. Ensuite, ils devront déposer leur candidature directement auprès d’un organisme certificateur agréé. La liste de ces organismes est publiée sur le site web de la CNIL.
Les organismes certificateurs doivent faire une demande d’accréditation auprès du Comité français d’accréditation (Cofrac) et démontrer leur conformité aux exigences du référentiel d’agrément de la CNIL conformément aux exigences d'accréditation du Cofrac. Une fois ces démarches d’accréditation réalisées auprès du Cofrac, les organismes certificateurs figureront dans la liste des organismes agréés publiée par la CNIL et pourront recevoir les premiers dossiers des candidats à la certification.
Les organismes certifiés
Synthèse de la consultation publique
Une consultation publique sur les critères du référentiel de certification a été organisée entre le 5 mars et le 27 mars 2020 sur le site web de la CNIL. Environ 100 contributions ont été reçues et proviennent essentiellement :
- d’organismes de formation privés et d’établissements d’enseignement supérieur ;
- de prestataires de service, sociétés de conseil ou cabinets d’avocat proposant plus ponctuellement des formations à leurs clients.
Cette consultation a permis d’enrichir la réflexion et de trouver le meilleur point d’équilibre entre les engagements qualitatifs dont pourront bénéficier les apprenants et les contraintes opérationnelles auxquelles sont soumis les organismes de formation.
En particulier, les critères de compétences des formateurs restent exigeants tout en permettant la valorisation d’acquis de l’expérience ou encore l’intervention d’experts « hors critères » lorsque cela est pertinent pour atteindre les objectifs de la formation.
Les référentiels
Délibération légifrance
- Délibération n° 2020-139 du 3 décembre 2020 portant adoption des critères du référentiel de certification des prestataires de formation à la protection des données à caractère personnel - Légifrance
- Délibération n° 2022-026 du 27 janvier 2022 portant adoption des exigences du référentiel d'agrément des organismes de certification pour la certification des prestataires de formation à la protection des données à caractère personnel - Légifrance